Kullanıcıdan Gelen Bilgi ve Güvenlik

Kullanıcıdan Gelen Bilgi ve Güvenlik PHP’ de yazılmış bir uygulamanın en zayıf noktası, dilin kendisinde olan bir sorun değil, yazılan uygulamanın bazı varsayımlara dayanarak güvenliği göz önünde bulundurmamasıdır. Kod yazarken her zaman yazdıklarınızı dikkatlice inceleyip, kullanıcıdan gelen bilgilerin doğru ve tam şekilde denetlenip onaylandığına emin olmanız gerekir. Kullanıcıdan gelen bilgiyi …

form güvenlik dosyası
form güvenlik dosyası

Kullanıcıdan Gelen Bilgi ve Güvenlik
PHP’ de yazılmış bir uygulamanın en zayıf noktası, dilin kendisinde olan bir sorun değil, yazılan uygulamanın bazı varsayımlara dayanarak güvenliği göz önünde bulundurmamasıdır. Kod yazarken her zaman yazdıklarınızı dikkatlice inceleyip, kullanıcıdan gelen bilgilerin doğru ve tam şekilde denetlenip onaylandığına emin olmanız gerekir. Kullanıcıdan gelen bilgiyi alıp işleme koyduğunuz her durumda kendinize şu soruları sorabilirsiniz:

  • Bu betik (kod ya da script) benim istemediğim dosyalara erişim, değişiklik veya silme imkanı veriyor mu?
  • Beklenmeyen bir bilgi geldiğinde de istenilen işlem yapılacak mı?
  • Bu betik başka bir amaç için kullanılabilir mi?
  • Bu betik, sistemde var olan başka betiklerle birlikte kötü amaçlı kullanılabilir mi?
  • Yapılan işlemler daha sonra inceleme amacıyla kayda alınacak mı?

Yaptığınız projenin uygunluğuna göre kod yazmadan önce ve yazarken bu soruları sık sık kendinize sormanız, proje bittiğinde değerlendirme yapıp değişiklikler yapmanızdan çok daha faydalı olacaktır. Bu sayede proje tasarımını güvenlik düşünülerek yapmış olacak ve daha sonra güvenlik dolayısıyla ciddi değişiklikler yapma zorunluluğunuz ortadan kalkacaktır. Güvenliğe vereceğiniz öncelikli önem, daha sonra yapacağınız ve güvenliği riske atacak değişikliklerden çok daha faydalıdır. Belirtilen bir değişkenin değerini, kaynağı veya geçerliliği bozacağını düşündüğünüz register_globals, magic_quotes ve benzeri ayarları kapatmanız iyi olabilir. Hata bildirim kipi ‘error_reporting (E_ALL)’ kullanımı, aynı zamanda uyarıları da göstereceği için kodunuzda sorun olup olmadığı hakkında daha iyi bilgi verebilir. PHP’ de tip denetim yapısı katı değildir ve bu güvenlik sorunlarını tetiklemektedir. Uygulamanızda değişken tiplerinin neler olduğunu bilmek ve mantıksal olarak kullanıcıdan gelen değişkenlerin türünü bilmek birçok durumda hataları ortadan kaldırabilir. PHP’ de kullanılabilecek çok sayıda tip tanımlama fonksiyonu vardır. Bu fonksiyonlardan bazıları is_int, is_array, is_bool, is_null, is_float, is_numeric vb. dir.

Örnek uygulama resim:
Formlardan gelen bilgiler her zaman beklenen doğru bilgiler olmayabilir. Bazen istenmeyen bilgilerde formlarla birlikte gönderilebilir. Bu bilgiler sayfalarımızın istenildiği gibi görünmesini engelleyebilir. Hatta çok daha ciddi problemler çıkmasına sebep olabilir.

‘htmlspecialchars’ fonksiyonu verilen metin içerisindeki HTML etiketlerinin işaretlere dönüştürülmesini sağlar.

Etiketler: , , , ,
Yazar: Gorgoda
Yayınlanma tarihi: 28 Aralık 2017
Kategorisi: Nedir?
Yorum yapılmamış

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

PHP’de Session (Oturum Yönetimi)
Nedir?
PHP Session (Oturum Yönetimi)

PHP Session (Oturum Yönetimi) PHP’deki oturum desteği, belli bir veriyi sonraki erişimlerden korumak için kullanılır. Böylece daha özelleştirilmiş uygulamalar oluşturabilir ve sitenizi daha fonksiyonel yapabilirsiniz. Sitenize gelen her ziyaretçiye eşsiz bir kimlik atanır, buna oturum kimliği (session_id) diyoruz. Bu kimlik istemci tarafından bir çerezde ya da doğrudan URL üzerinde saklanır. …

Çerezlerin Kullanım Yerleri
Nedir?
Çerezlerin Kullanım Yerleri

Çerezlerin Kullanım Yerleri Çerezler, web sayfası ile bilgisayarımız arasındaki referansımızdır. Daha önce girdiğimiz bir web sayfasına girişlerimiz çerezler sayesinde kaydedilebilir. Daha sonra aynı sayfaya girmemiz halinde girdiğimiz sayfa bizi tanır, bize kimi referans bilgileri verir, sayfayı daha sonra ziyaret ettiğimizde bu referans bilgileri web sayfasına otomatik olarak iletilir. Çerezler çeşitli …

Oturum Yönetimi
Nedir?
Oturum Yönetimi

Oturum Yönetimi Oturum, bir kullanıcının bir web sitesini ziyaret etme sürecidir, diyebiliriz. Başka bir tanım ile, bilgisayarınızın başına geçip tarayıcınızı çalıştırdığınız, web’ de sörf yaptığınız ve daha sonra tarayıcınızı kapattığınız zaman arasında kalan süreç bir oturumdur. Oturum Yönetimi kavramının gelişmesi internet sitelerinin ziyaretçilerine daha iyi, hızlı ve özgün hizmet verebilmeleri …

Pin It on Pinterest